Una familia poderosa de herramientas de acceso remoto (RAT) de Android llamada BRATA está proliferando, con al menos 20 variantes diferentes que surgen desde que se vio por primera vez en enero. La mayoría de los binarios se han encontrado en la tienda oficial de Google Play, disfrazados de actualizaciones para la aplicación de mensajería instantánea WhatsApp.
En particular, BRATA recopila y transmite información, especialmente información bancaria, en tiempo real a sus operadores, según una investigación de Kaspersky.
"La capacidad de controlar a distancia un teléfono inteligente en tiempo real [es lo más notable de BRATA]", dijo Santiago Pontiroli, investigador de seguridad de Kaspersky Latinoamérica, hablando con Threatpost. "BRATA no solo puede robar credenciales financieras y tokens de autenticación de dos factores, sino que también puede recuperar archivos, espiar las llamadas y mensajes del usuario y más".
Para llevar a cabo su trabajo malicioso, abusa de una vulnerabilidad conocida de WhatsApp ( CVE-2019-3568 ) para infectar un dispositivo de destino, y luego habilita una función de registro de claves junto con la funcionalidad de transmisión en tiempo real. También utiliza la función del Servicio de Accesibilidad de Android para interactuar con otras aplicaciones instaladas en el teléfono móvil del usuario y obtener el control total del dispositivo, según Pontiroli.
Para que el malware funcione correctamente, requiere al menos la versión Android Lollipop 5.0, dijeron los investigadores en una publicación esta semana. Los investigadores también señalaron que los ciberdelincuentes detrás de BRATA tienen varios vectores de infección, incluido el uso de notificaciones push en sitios web comprometidos, mensajes de spam enviados a través de WhatsApp o SMS, y enlaces patrocinados en las búsquedas de Google.
BRATA, abreviatura de RAT brasileño para Android, está circulando en Brasil. Sin embargo, podría dar el salto fácilmente a diferentes regiones del mundo, dijeron los investigadores.
Pontiroli señaló: "Nada impide que BRATA se expanda a otras regiones o evolucione la campaña para incluir un esquema extorsivo (como exigir un rescate por información privada)".
Agregó que los autores de BRATA parecen particularmente interesados en la información de la banca móvil.
"Por el momento, BRATA se centra en los usuarios que usan sus teléfonos inteligentes para la banca en línea", dijo a Threatpost. “Está dirigido a usuarios de varios bancos brasileños pero no a los bancos mismos. Por el momento, esta es una amenaza financiera, centrada en obtener credenciales de los usuarios que verifican sus cuentas bancarias desde sus teléfonos inteligentes ".
Las aplicaciones falsas de WhatsApp se eliminaron de la tienda brasileña de Google Play y el desarrollador, "JCLapp", prohibió cargar más aplicaciones. Sin embargo, el malware todavía se distribuye en mercados de terceros y podría aparecer fácilmente en otras tiendas regionales de Google Play con un alias de desarrollador diferente, advirtieron los investigadores.
https://securelist.lat/fully-equipped-spying-android-rat-from-brazil-brata/89476/
